对“电子数据”证据如何专业化审查

对电子数据证据如何专业化审查电子数据在刑事诉讼中具有极强证明力，它能够有效证实传统证据无法证实的事 实，或揭示出与犯罪活动 有尖的行为、位置、来源、尖联、活动以及顺序等情况。但是刑事实务人员基本上是技术“小白”。本文 对电子数据相尖证据规则进行梳 理，共同提高对此类证据的审查能力。2013年最高人民法院尖于适用V刑事诉讼法 的解释（以下简称解释）、2005年公安部计 算机犯罪现场勘验与电子证据检查规则（以下简称规则）、2014年最咼人民法院、最咼人民检察院、 公安部尖于办理网络犯罪案件适用刑事诉讼程序若干问题的意见（以下简称意见、等司法解释和规 范性文件，对电子数据的取证与审查作出了原则性规定。电子数据从生成到呈现在法庭上的整个过程， 都依赖于特定的现代电子技术。由于知识上的缺陷，司法人员对电子数据的审查往往具有盲目性和随意性。 本文对上述规则梳理、扩展、解读，以期共同提高。1、电子数据的其他分类方法？解释第93条规定，电子数据包括：电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从有效审查电子数据真实性的角度，下面分类方式更具可操作性。分类一、孤立数据二、系统数据1 可编辑数据2. 只读数据3. 不可读数据1 二维数据2.多维数据真实性特点易被篡改、删除、伪造篡改难度有所增加难以篡改存在于当事人双方之间，易发生原始f生争议 一般不需要进行复杂的原始性判断，具有最高的 穩定烬和安全烬，有较大的证明价値真实性比较：可编辑数据V只读数据V不可读数据V二维数据V多维数据规则第8、9条:计算机犯罪现场勘验与电子证据检查，应当由县级以上公安 机尖公共信息网络安全 监察部门负责组织实施。电子证据检查，应当遵循办案人员与检查人员分离的原则。检查工作应当由具备 电子证据检查技能的专业技术人员实施。比如快播案”辩护人提出，涉案服务器被行政机尖扣押，随后转 移到公安机尖，但是没有证据来证明是谁转移的、程序是否合法、是否有人监督这一过程。3、获取电子数据的正确流程？根据规则第14条，固定存储媒介和电子数据包括以下方式：（1）完整性校验方式；（2）备份方 式；（3）圭寸存方式o同时电子数据的获取应符合数字化设备证据数据发现提取固定方法（GA / T756 2008 ）中尖于发现提取固定步骤的要求。对具备复制条件的，应使用电子数据存储介质复制工 具复制原始电子数据存储介质，将复制生成的克隆或镜像文件作为检验对象；对于具备写保护条件的， 应使用写保护设备，将电子数据存储介质通过写保护设备接入检验设备上；对于不启动被检验数字化设备的操作系统就能发现提取固定的电子数据的，应优先选择不启动被检验数字化设备的操作系统的条件下发现提取固定电子数据。网络电子证据收集过程中，在对收集到的数据从目标机器安全地转移到取证设备上时，需要采用安全的传输技 术，如IP加密、VPN隧道加密、SSL加密等保证电子证据的安全传输。电子数据的取证流程为：记录现场计算机的连接现状固定当前对象计算机的易失f生数据尖闭计算机系统T拆卸、取出存储介质T对存储介质进行写保护处理使用专用设备对存储介质复制（或使用只读锁+软件）进行数据提取、固定计算原始存储介质Hash值 封存4七晌正确封存赛始仔ft封存电子证据的目的是保护电子证据的完整性、真实性和原始性。意见第14条：收集、提取电子数 据，能够获取原始存储介质的，应当封存原始存储介质。根据规则第13条，封存的原则是：封存前 后应当拍摄被封存电子设备和存储媒介的照片并制作封存电子证据清单，照片应当从各个角度反映设 备封存前后的状况，清晰反映封口或张贴封条处的状况；保证在不解除封存状态的情况下，无法使用被 封存的存储媒介和启动被封存电子设备。5电子数据的克隆与复制有什么区别?由于电子数据具有可复制性，为了在提取、检验过程中不破坏和修改原有数据的完整性，通过硬盘复制机 将电子数据进行克隆。克隆不同于我们日常使用的“ Ctrl+C和” “ Crtl+乂 ”隆是对整个磁盘，逐磁道逐扇区、物理级的数据 位对位精确复制，因此可以获得所有文件，且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等，这些存储区域的数据可以通过后期各种处理方法提取成为有效的电子数据或 线索。6 ：为什么要对电子数据逬行完整f生校验 计算哈希Hash追）意见第14条：收集、提取电子数据应当制作笔录，记录完整性校验值o完整性校验值即哈希函 数，也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串，映射成一个较短的定长的输出 数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函数有下特点：输入数字串与输出数字串 具有唯一的对应尖系；输入数字串中任何变化会导致输出数字串也发生变化；从输出数字串不能够反求 出输入数字串。Hash值主要有MD5和SHA两种算法。它们可以对任意类型的文件、硬盘分区或整个硬 盘进行校验，分别输出128位和160位的定长散列值。哪怕是一个标点符号的更改，都会导致Hash值 变化。只要Hash值不变，就能够证明提交给法庭的电子数据未经改变。7电子数据与原始存储介质的矢系？刑事诉讼中，不存在原始电子数据”的概念，而只有原始存储介质”的概念。般可以将电子数据分为随 原始存储介质移送的电子数据和无法移送原始存储介质的情况下通过其他存储介质予以收集的电子数据。 司法人员对于随原始存储介质移送的电子数据，应当重点审查原始存储介质是否通过只读处理以确保数据 不被修改。对于通过其他存储介质予以收集的电子数据，应当重点审查是否记录完整f生校验值。8、电子数据的取证工具是否需要验证?需要。电子数据的取证工具与传统证据的取证工具完全不同。取证工具的可靠与否，对于能否收集到准确、全面的电子数据至尖重要。在司法实践中，采用非专用取证工具的情况大量存在。有些案件只需通过简单的复制操作便可以将存储设备中的电 子数据证据进行固定；有些案件只需通过简单的打印操作便可将这些电子数据证据进行固定，有些案件需 要专用的取证工具o一般认为，性能、质量、稳定性经过国家有尖权威部门认证的取证工具，取证可靠 性最高。常用的专用取证工具有专用硬盘复制机、专用取证工具箱、UTK软件、EnCase软件、WinHex软件、Sleut hkit、 NTI系列软件等。对于安全性、稳定性、可靠性在取证前、取证后都无法验证，功能不完备的未知取证工具，取得的电子数据的可靠性得不到保证，证明力较低。9、如何确定计算机用户身份？在网络犯罪案件中，确定计算机用户身份至尖重要。用户身份分为用户本地身份和用户网络身份。用户本地身份即操作系统用户，包括普通用户身份、管理员身份，间接代表用户有计算机所有权、某个时间段 的控制权或使用权。而用户网络身份直接的有各种环节的注册用户ID、口令及资料，间接的有计算机IP 地址、MAC地址（也称网卡物理地址，是由厂商写在网卡BIOS里的一段特征信息）。10什么是身份认证信息？从两高尖于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第1条的规定来看，非法获取计算机信息系统数据罪中的数据，主要包括支付结算、证券交易、期货交 易等网络金融服务的身份认证信息或者其他身份认证信息。即并非所有的电子数据都可以成为刑法第 285条的犯罪对象o身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。该罪中 的身份认证信息以组”作为认定其为数据的标准，即账号、口令、密码、数字证书共同构成一组数据， 只有账号没有密码等不构成本罪中的数据。电子数据的司法鉴定，主要包括用户行为鉴定、恶意程序鉴定、电子文档和数据电文鉴定、数据库鉴 定、电子数据相似性鉴定、手机数据鉴定、网络数据鉴定。比如复旦林森浩投毒案”侦查机矢在林森浩笔记本电脑硬盘中提取了电子数据，后经检验鉴定，认定林 森浩于2013年3月31日18时许通过百度查询过 二甲基亚硝胺有味道吗”等内容；4月1日18时许 至23时许，又查询过二甲基亚硝胺中毒怎么办”二甲基亚硝胺怎么确诊”等内容。行为人在某时间段内 浏览了某个网页，计算机、浏览器中就会存储浏览活动信息，这就是用户行为”鉴定。12、尖于电子数据的行业规范与行业标准国家标准3个公共安全行业标准22个GB/T 29360 201 2电子物证数据恢复检验规程GB/T 29361 2012电子物证文件一致性检验规程GB/T 29362 - 2012电子物证数据搜索检验规程2008电子数据存储介质复制工具要求及检测方法 电子数据存储介质写保护设备检测方法数字 化设备证据数据发现提取固定方法程序功能 检验方法电子物证数据搜索检验技术规范2009电子物证数据恢复检验技术规范GA /GA /2008GA /T754T755T75620088./吓超5二2009电子物证文件一致性检验技术规范邮T 828 2009电子物证软件功能检验技术规范9. GA /T 829 2009电子物证软件一致性检验技术规范10. GA /T 976 2012电子数据法庭科学鉴定通用方法 门.GA /T977 -2012取证与鉴定文书电子签名12. GA/T978 - 2012网络游戏私服检验技术方法13. GA /T 1069 - 2013法庭科学电子物证手机检验技术规范14GA/T 1070 - 2o13法庭科学计算机开矢机时间检验技术规范15- GA / T 1 071 - 2013法庭科学电子物证Windows操作系统日志检验技 术规范16. GA / T 1770- 2014移动终端取证检验方法GA / T 1771 - 201 4芯片相似性比对检验方法18GA / T 1772 - 2014电子邮件检验技术方法19- GA / T 1773 - 2014 即时通讯记录检验技术方法GA / T 1774 - 2 014电子证据数据现场获取通用方法GA /T 1775 2014软件相似性检验技术方法20.GA /T 1776 2014网页浏览器历史数据检验技术方法21 .司法鉴定技术规范4个公安部1. SF/ ZJD0400001 2014电子数据司法鉴定通用实施规范2. SF /ZJD0401001 一 2014电子数据复制设备鉴定实施规范3. SF/Z JD0402001 2014电子邮件鉴定实施规范4. SF /ZJD0403001 一 201 4软件相似性检验实施规范计算机犯罪现场勘验与电子证据检查规则公安机尖电子数据鉴定规则22.